题目地址: http://123.206.87.240:9009/5.php
ereg正则%00截断的一道代码审计:
if (isset ($_GET['password'])) {
if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
{
echo '<p>You password must be alphanumeric</p>';
}
else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)
{
if (strpos ($_GET['password'], '*-*') !== FALSE)
{
die('Flag: ' . $flag);
}
else
{
echo('<p>*-* have not been found</p>');
}
}
else
{
echo '<p>Invalid password</p>';
}
}
分析代码,有两个函数需要注意:
- ereg() 正则限制了password格式,只能是一个或者多个数字、大小写字母
- strpos() 查找某字符串在另一字符串中第一次出现的位置(区分大小写),本题中需要匹配到
"
*-*"
才能输出flag
解题方法1:利用数组绕过这两个函数
ereg() 只能处理字符串,而password是数组,所以返回的是null,三个等号的时候不会进行类型转换。所以null!==false。
strpos() 的参数同样不能够是数组,所以返回的依旧是null,null!==false也正确。
Payload:http://123.206.87.240:9009/5.php?password[]=1
解题方法2:%00截断绕过正则匹配
判断是不是长度<8且>9999999
判断是不是有“*-*”